Перейти к содержанию

[РЕШЕНО] Касперский не обнаруживает Zam64.sys и ZamGuard64.sys


Рекомендуемые сообщения

Здравствуйте! 
Подозреваю, что я заражен каким-то вирусом, или же остались его следы. Ранее до Касперского загрузил зараженный установщик игры (Trojan-Dropper), неизвестно, что он выполнил.
Dr.Web CureIt! обнаруживает zam64.sys и zamguard64.sys.

CollectionLog-2025.03.24-11.59.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Найдите отчёт "доктора" вида cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

  Цитата

O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zam64.sys (sign: 'Zemana Ltd.')
O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zamguard64.sys (sign: 'Zemana Ltd.')

Показать  

Это следы бывшей установки антивируса Zemana.

 

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    ProxyServer: [S-1-5-21-441121067-10831908-3394159381-1000] => 127.0.0.1:2080
    2025-03-23 09:54 - 2025-03-24 12:35 - 000865097 _____ C:\WINDOWS\ZAM.krnl.trace
    2025-03-23 09:54 - 2025-03-24 12:35 - 000859819 _____ C:\WINDOWS\ZAM_Guard.krnl.trace
    2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys
    2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zam64.sys
    2025-03-16 20:03 - 2025-03-16 20:03 - 000000000 ____D C:\Users\Couita\AppData\Local\Zemana
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\bidplfjf.sys:changelist [826]
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\ttmqwzib.sys:changelist [1394]
    AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Сделайте, конечно:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Исправьте по возможности:

 

CrystalDiskInfo 9.5.0 v.9.5.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Data-Tier App Framework  v.11.0.2316.0 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 4.0.14 v.4.0.14 Внимание! Скачать обновления
Microsoft SQL Server 2012 Express LocalDB  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  (x64) v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL ScriptDom  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
VMware Workstation v.17.6.0 Внимание! Скачать обновления
Figma v.125.1.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.10411.0 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 4 SDK - русский v.4.0.60310.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 5 SDK - RUS v.5.0.61118.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.031.0217.0003 Внимание! Скачать обновления
Discord v.1.0.9175 Внимание! Скачать обновления
AmneziaVPN v.4.8.2.3 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Yaasa
      Автор Yaasa
      сидел в компе и касперский начал часто выдавать сообщение запрещено при заходе в антивирус это :
      ложное ли это срабатывание или вирус?
       


    • KitNE
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • KuZbkA
      Автор KuZbkA
      Здравствуйте! Почему касперский ubuntu linux считает сервером? она ж позиционируется как десктопная, например в соседнем антивирусе ее и считают десктопной, клиентской)) обидно за касперского))
    • Couita
      Автор Couita
      My Kaspersky: 

      При нажатии в Касперском приложении кнопки "управлять аккаунтом" Касперский зависает и вылетает.
    • KL FC Bot
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
×
×
  • Создать...